풀이도구:   HxD, ooXML_Steganography풀이:

- docx 확장자로 된 문서파일을 확인 문서편집기로 실행시 정상적으로 파일이 실행되는 것을 확인

- HxD에디터로 확인해보면 파일의 시그니처(50 4B 03 04)임을 확인할 수 있으며 해당 시그니처는 ZIP, DOCX, PPTX,XLSX,JAR,SXC, SXD, SXI, SXWWMZ, XPI, XPT 파일의 시그니처로 사용 될 수 있다.

-  docx 파일 확장자는 압축파일의 구조를 따르는 문서의 형태로 .docx 파일 확장자를 .zip으로 변경해서 확인해보면 아래와 같은 형태로 표현된다.

-  zip파일의 압축을 풀고 파일을 확인해보면 원본 확장자 .docx 파일을 열었을 때 확인했었던 이미지 파일들이 저장된 것을 확인 할 수 있다.

-  이 파일들을 하나 씩 실행시키던 중 image6.emf 파일의 포맷이 틀리다는 경고창이 나타난다.

image6.emf 파일을 HxD로 확인해보면 docx, pptx, xlsx 파일의 시그니처(50 4B 03 04 14 00 06 00)를 확인이 되며 .xml 뒷 부분의 extra field에 무언가 데이터가 은닉되어있음을 확인 할 수 있다.

-  우선 파일 확장자를 .docx로 변경해서 확인해보면 아래와 같은 글씨가 보인다.

- 이제 ooXML_Steganography 툴을 사용하여 extra filed의 은닉데이터를 찾기만 하면 된다.

-  위에서 확인한 2013을 복호키로 설정하여 image6.docx 파일을 복호화시키면 flag가 저장된 텍스트 파일을 확인 할 수 있다.